Прощай, спокойный сон сисадмина. Let’s Encrypt намекает, что пора доверить безопасность роботам
NewsMakerРазработчикам рекомендовали перейти на ACME Renewal Information из-за новых правил.
Некоммерческий центр Let’s Encrypt объявил о поэтапном сокращении срока действия своих TLS-сертификатов с текущих 90 до 45 дней к 2028 году. Изменения проходят в рамках единых для отрасли Базовых требований CA/Browser Forum , которым должны следовать все публично доверенные центры сертификации. Уменьшение срока жизни сертификатов должно повысить общую безопасность веба, сузив окно для эксплуатации скомпрометированных ключей и упростив использование механизмов отзыва.
Параллельно Let’s Encrypt сокращает срок повторного использования авторизации домена. Сейчас после проверки права на домен центр может выпускать для него сертификаты в течение 30 дней, однако к 2028 году этот период уменьшат до 7 часов. Эти ограничения будут вводиться постепенно и зависят от выбранного ACME-профиля, который задается в клиенте. Дополнительно о профилях и их настройке можно прочитать в отдельной записи Let’s Encrypt об ACME Profiles .
Первый этап начнется 13 мая 2026 года, когда профиль tlsserver станет выдавать сертификаты сроком на 45 дней. Это опциональный профиль для ранних внедрений и тестов. Далее 10 февраля 2027 года классический профиль classic, который используют по умолчанию, перейдет на сертификаты сроком на 64 дня и авторизацию домена с возможностью повторного использования в течение 10 дней. Наконец, 16 февраля 2028 года тот же профиль classic будет окончательно переведен на 45-дневные сертификаты и 7-часовой срок повторного использования авторизации. Отдельный профиль shortlived по-прежнему предназначен для очень короткоживущих сертификатов (около 6 дней).
Большинству пользователей Let’s Encrypt, у которых уже настроено автоматическое получение и продление сертификатов, менять конфигурацию не потребуется. Тем не менее разработчики советуют убедиться, что автоматика корректно работает с более короткими сроками действия. В качестве базового механизма планирования продлений рекомендуется использовать ACME Renewal Information (ARI) - функцию, позволяющую клиентам получать от Let’s Encrypt точные подсказки, когда именно нужно обновить сертификат. Для интеграции ARI в существующие ACME-клиенты опубликовано отдельное руководство .
Некоммерческий центр Let’s Encrypt объявил о поэтапном сокращении срока действия своих TLS-сертификатов с текущих 90 до 45 дней к 2028 году. Изменения проходят в рамках единых для отрасли Базовых требований CA/Browser Forum , которым должны следовать все публично доверенные центры сертификации. Уменьшение срока жизни сертификатов должно повысить общую безопасность веба, сузив окно для эксплуатации скомпрометированных ключей и упростив использование механизмов отзыва.
Параллельно Let’s Encrypt сокращает срок повторного использования авторизации домена. Сейчас после проверки права на домен центр может выпускать для него сертификаты в течение 30 дней, однако к 2028 году этот период уменьшат до 7 часов. Эти ограничения будут вводиться постепенно и зависят от выбранного ACME-профиля, который задается в клиенте. Дополнительно о профилях и их настройке можно прочитать в отдельной записи Let’s Encrypt об ACME Profiles .
Первый этап начнется 13 мая 2026 года, когда профиль tlsserver станет выдавать сертификаты сроком на 45 дней. Это опциональный профиль для ранних внедрений и тестов. Далее 10 февраля 2027 года классический профиль classic, который используют по умолчанию, перейдет на сертификаты сроком на 64 дня и авторизацию домена с возможностью повторного использования в течение 10 дней. Наконец, 16 февраля 2028 года тот же профиль classic будет окончательно переведен на 45-дневные сертификаты и 7-часовой срок повторного использования авторизации. Отдельный профиль shortlived по-прежнему предназначен для очень короткоживущих сертификатов (около 6 дней).
Большинству пользователей Let’s Encrypt, у которых уже настроено автоматическое получение и продление сертификатов, менять конфигурацию не потребуется. Тем не менее разработчики советуют убедиться, что автоматика корректно работает с более короткими сроками действия. В качестве базового механизма планирования продлений рекомендуется использовать ACME Renewal Information (ARI) - функцию, позволяющую клиентам получать от Let’s Encrypt точные подсказки, когда именно нужно обновить сертификат. Для интеграции ARI в существующие ACME-клиенты опубликовано отдельное руководство .